Conto svuotato con truffa telefonica

il ragionamento e':

1) il malware e' sul telefono (capire come ci sia arrivato: phishing, altro?)

2) su istigazione via telefonata tu accedi al conto da quel telefono digitando la password ed il malware quindi la intercetta e recapita al truffatore.

3) a quel punto se il malware e' in grado di controllare da remoto il telefono, il truffatore puo' operare al posto tuo

4) sia che l'otp ti arrivi via sms che via app, il truffatore avendo il controllo dello smartphone puo' operare al tuo posto

Diciamo che e' molto elaborata ma forse non impossibile

Però è rischioso telefonare avendo già il controllo del telefono. Bastava aspettare, prima o poi il truffato sarebbe entrato nel conto.

Sul conto c'erano poco più di 1.000 euro.
Secondo me hanno fatto un MoneyBeam di N26 che permette di trasferire al massimo 1.000 euro (inserendo la richiesta verso un contatto telefonico o una persona di cui si conosce nr. telefono e email).
A questo punto potrebbe essere andata così: hanno inserito un MoneyBeam di 1.000 euro inserendo l'email ed il telefono del truffato (presi da qualche banca dati / rubati non so dove).
Il truffato ha ricevuto la chiamata dello pseudo operatore della Banca (che in realtà era il truffatore) che aveva bisogno che lui autorizzasse l'operazione e che gli ha fatto aprire l'app per verificare.
A questo punto lo ha infinocchiato facendogli fare presunte verifiche fino a fargli autorizzare l'operazione....
Sta in piedi?

E' vagamente più verosimile, anche se alcuni passaggi su come siano entrati nel conto senza ottenere l'autorizzazione da app restano oscuri.
 
Però è rischioso telefonare avendo già il controllo del telefono. Bastava aspettare, prima o poi il truffato sarebbe entrato nel conto.



E' vagamente più verosimile, anche se alcuni passaggi su come siano entrati nel conto senza ottenere l'autorizzazione da app restano oscuri.

Non mi sono spiegato bene, il truffatore inserisce l'operazione di richiesta dei 1.000€. dal truffato (conoscendo la sua mail ed il suo numero di telefono).
Poi il truffato deve autorizzare per far si che l'operazione venga eseguita.
Non c'è bisogno di entrare sul conto del truffato....
 
Non mi sono spiegato bene, il truffatore inserisce l'operazione di richiesta dei 1.000€. dal truffato (conoscendo la sua mail ed il suo numero di telefono).
Poi il truffato deve autorizzare per far si che l'operazione venga eseguita.
Non c'è bisogno di entrare sul conto del truffato....

Ah tu intendi che abbia inviato una richiesta?
 
Ah tu intendi che abbia inviato una richiesta?

Esatto!
Poi lo ha chiamato per raggirarlo e farsela autorizzare, fingendosi un operatore N26 che voleva verificare un movimento anomalo.
 
il ragionamento e':

1) il malware e' sul telefono (capire come ci sia arrivato: phishing, altro?)

2) su istigazione via telefonata tu accedi al conto da quel telefono digitando la password ed il malware quindi la intercetta e recapita al truffatore.

3) a quel punto se il malware e' in grado di controllare da remoto il telefono, il truffatore puo' operare al posto tuo

4) sia che l'otp ti arrivi via sms che via app, il truffatore avendo il controllo dello smartphone puo' operare al tuo posto

Diciamo che e' molto elaborata ma forse non impossibile
Teoricamente ci potrebbe stare, ma conosci qualche caso specifico da menzionare?


Però è rischioso telefonare avendo già il controllo del telefono. Bastava aspettare, prima o poi il truffato sarebbe entrato nel conto.
Ci sono dei conti inoperativi anche per svariate settimane/mesi, non tutti i truffatori hanno questa pazienza, metti che devono fare il regalo alla fidanzata di lì a una paio di giorni? :D


Non mi sono spiegato bene, il truffatore inserisce l'operazione di richiesta dei 1.000€. dal truffato (conoscendo la sua mail ed il suo numero di telefono).
Poi il truffato deve autorizzare per far si che l'operazione venga eseguita.
Non c'è bisogno di entrare sul conto del truffato....
Scusami ma non è che sei chiarissimo anche ora, forse sei troppo sintetico. O stai dando per scontato che il truffatore abbia l'accesso al conto del malcapitato, oppure mi chiedo come faccia a disporre un'operazione di bonifico senza conoscere anche la password di accesso ma solo mail e numero. Perché se non ho interpretato male quello che hai descritto mi sembra di capire che la telefonata dovrebbe servire solo a farsi comunicare l'otp.. Oppure ho capito male?

Se ho capito bene, cioè che la telefonata serva solo per l'otp, allora al truffatore serve la password di accesso e saremmo - mi sembra - in una variante del caso ipotizzato da ricdeckard:

1. C'è un malware installato (bisogna vedere quale, modalità di infezione, vulnerabilità sfruttate, ecc. dettagli non da poco)
2. Il truffatore chiama con una scusa e quando il cliente fa il login questo malware manda le credenziali al truffatore
3. A quel punto il truffatore, facendo il login sul sito, inizia a disporre il bonifico
4. Sempre con scuse banali chiede alla vittima di comunicargli il codice arrivato via SMS o via app (autorizzazione del bonifico)

p.s. tra il punto 2 e il punto 3 il truffatore dovrebbe anche chiedere alla vittima di fare il logout, altrimenti risulterebbe già una sessione attiva, e presumo che non potrebbe operare
 
Ultima modifica:
Fintanto che si trattava di Android potevo avere qualche sospetto di malware installato, ma con l'iPhone 8 non mi si spiega. L'unica eccezione, che è un dettaglio non detto, è la presenza di sideloading (cosa che non è vero che non si possa fare con iPhone, esistono numerosi AppStore di terze parti disponibili senza fare il jailbreak).

Una presenza di sideloading potrebbe aprire la strada ad una potenziale app modificata che, tramite exploit, ha ottenuto privilegi amministrativi e da lì il controllo del telefono.

Ad esclusione di questo dettaglio non vedo altre spiegazioni plausibili che non siano pura ingegneria sociale
Non ho mai capito come si possa essere convinti che l'utente possa sfruttare un exploit per fare il jailbreak ma un malware no (un analogo ragionamento viene fatto anche per il rooting su Android). Esistono malware che il jailbreak se lo fanno da soli, come questo: alla vittima basta visitare un sito web, il malware veicolato dalla pagina web sfrutta una vulnerabilità del browser per effettuare il jailbreak e sostituire le app installate con codice malevolo in grado di sottrarre sms, dati bancari ed altro.
 
Ultima modifica:
Troppa roba.
Molto più facile. Il malware è l'utente stesso che collabora e poi lo "dimentica" o "dimentica di dirlo".
E' una truffa (...con artifizi o raggiri ...). Missione Impossibile 6 devono ancora girarlo (però è cominciata la sceneggiatura :D).
 
Non ho mai capito come si possa essere convinti che l'utente possa sfruttare un exploit per fare il jailbreak ma un malware no (un analogo ragionamento viene fatto anche per il rooting su Android). Esistono malware che il jailbreak se lo fanno da soli, come questo: alla vittima basta visitare un sito web, il malware veicolato dalla pagina web sfrutta una vulnerabilità del browser per effettuare il jailbreak e sostituire le app installate con codice malevolo in grado di sottrarre sms, dati bancari ed altro.

Eh, quello che ho detto io. Ma lo ritengo più probabile con sideloading per installare le app crackate piuttosto che un puro exploit che ti hanno preso di mira stile Pegasus.
 
Teoricamente ci potrebbe stare, ma conosci qualche caso specifico da menzionare?


Ci sono dei conti inoperativi anche per svariate settimane/mesi, non tutti i truffatori hanno questa pazienza, metti che devono fare il regalo alla fidanzata di lì a una paio di giorni? :D


Scusami ma non è che sei chiarissimo anche ora, forse sei troppo sintetico. O stai dando per scontato che il truffatore abbia l'accesso al conto del malcapitato, oppure mi chiedo come faccia a disporre un'operazione di bonifico senza conoscere anche la password di accesso ma solo mail e numero. Perché se non ho interpretato male quello che hai descritto mi sembra di capire che la telefonata dovrebbe servire solo a farsi comunicare l'otp.. Oppure ho capito male?

Se ho capito bene, cioè che la telefonata serva solo per l'otp, allora al truffatore serve la password di accesso e saremmo - mi sembra - in una variante del caso ipotizzato da ricdeckard:

1. C'è un malware installato (bisogna vedere quale, modalità di infezione, vulnerabilità sfruttate, ecc. dettagli non da poco)
2. Il truffatore chiama con una scusa e quando il cliente fa il login questo malware manda le credenziali al truffatore
3. A quel punto il truffatore, facendo il login sul sito, inizia a disporre il bonifico
4. Sempre con scuse banali chiede alla vittima di comunicargli il codice arrivato via SMS o via app (autorizzazione del bonifico)

p.s. tra il punto 2 e il punto 3 il truffatore dovrebbe anche chiedere alla vittima di fare il logout, altrimenti risulterebbe già una sessione attiva, e presumo che non potrebbe operare

Non si tratta di un Bonifico ma di un MoneyBeam N26
Il truffatore inserisce la richiesta di soldi al truffato, conoscendo la sua mail ed il suo numero di cellulare, dal proprio conto N26 (quindi NON accede al conto del truffato).
Poi chiama il truffato e lo "imbambola" con domande / verifiche / etc. etc. per farsi autorizzare l'operazione (o farsi dire l'OTP ? )
Questa potrebbe essere la spiegazione.
 
Non si tratta di un Bonifico ma di un MoneyBeam N26
Il truffatore inserisce la richiesta di soldi al truffato, conoscendo la sua mail ed il suo numero di cellulare, dal proprio conto N26 (quindi NON accede al conto del truffato).
Poi chiama il truffato e lo "imbambola" con domande / verifiche / etc. etc. per farsi autorizzare l'operazione (o farsi dire l'OTP ? )
Questa potrebbe essere la spiegazione.

Ah ok, beh non conosco N26 ma da come hai descritto appare fin troppo facile una frode di questo tipo, basta realmente conoscere solo numero/mail della vittima, avere un account N26 con un prestanome (qui bisognerebbe vedere il grado di sicurezza dell'istituto bancario all'atto dell'identificazione cliente) e il gioco è fatto. Non serve nemmeno un malware installato sul telefono.

Lo scenario ipotizzato da me e ricdeckard invece potrebbe riguardare il caso della signora di Fineco.
 
Teoricamente ci potrebbe stare, ma conosci qualche caso specifico da menzionare?
...
no siamo nel campo delle pure ipotesi.

personalmente propendo sempre per l'ingegneria sociale al 99% della truffa.

magari l'1% di hacking informatico e' stato indurre la signora col phishing ad inserire user e password su un sito fake: una che crede che un addetto della tua banca ti chiami per farti connettere al tuo conto ci puo' cascare tranquillamente ;)
 
Ah ok, beh non conosco N26 ma da come hai descritto appare fin troppo facile una frode di questo tipo, basta realmente conoscere solo numero/mail della vittima, avere un account N26 con un prestanome (qui bisognerebbe vedere il grado di sicurezza dell'istituto bancario all'atto dell'identificazione cliente) e il gioco è fatto. Non serve nemmeno un malware installato sul telefono.

Lo scenario ipotizzato da me e ricdeckard invece potrebbe riguardare il caso della signora di Fineco.

Giusto per ridere...la Banca d'Italia, il 28 Marzo 2022 ha imposto alla succursale Italiana di N26 il divieto di acquisire nuovi clienti per "carenze significative nel rispetto della Normativa antiriciclaggio".
Vedi un po' te :D
 
una che crede che un addetto della tua banca ti chiami per farti connettere al tuo conto ci puo' cascare tranquillamente ;)

Ni. Nel senso, hai certamente ragione a ritenere che chi pecca di ingenuità in un campo con ogni probabilità pecca di ingenuità anche in altri, ma credo che anche una persona che abbia una discreta dimestichezza con il web, e che quindi riesca ad accorgersi che il sito non sia quello vero (banalmente, basterebbe guardare la barra degli indirizzi) potrebbe cascare ad una chiamata del genere, dove in fondo si chiede solo l'otp e non cose più "standard" come la password o altri dati personali.

Inoltre ad oggi sempre più persone (anche inesperte) sono a conoscenza del pericolo di fornire credenziali come password, anche in form di accesso attraverso il web, mentre questa cosa della chiamata e del codice otp potrebbe essere una novità ai più, e pertanto potenzialmente più rischiosa. A monte, comunque, come detto, non basta l'otp ma ci deve essere la falla di un altro fattore di autenticazione già bypassato.
 
Ni. Nel senso, hai certamente ragione a ritenere che chi pecca di ingenuità in un campo con ogni probabilità pecca di ingenuità anche in altri, ma credo che anche una persona che abbia una discreta dimestichezza con il web, e che quindi riesca ad accorgersi che il sito non sia quello vero (banalmente, basterebbe guardare la barra degli indirizzi) potrebbe cascare ad una chiamata del genere, dove in fondo si chiede solo l'otp e non cose più "standard" come la password o altri dati personali.

Inoltre ad oggi sempre più persone (anche inesperte) sono a conoscenza del pericolo di fornire credenziali come password, anche in form di accesso attraverso il web, mentre questa cosa della chiamata e del codice otp potrebbe essere una novità ai più, e pertanto potenzialmente più rischiosa. A monte, comunque, come detto, non basta l'otp ma ci deve essere la falla di un altro fattore di autenticazione già bypassato.

io ipotizzo che i truffatori gia' avessero user e password prima della telefonata: al telefono si sono fatti dare la/le OTP.

tra l'altro fineco per chi usa l'sms come 3o fattore ha recentemente cambiato: non e' piu' possibile confermare un bonifico successivamente ma va fatto subito.
dal 13 gennaio, il regolamento relativo al servizio di SMS PIN è stato modificato.

Pertanto, in caso di bonifici disposti da sito e confermati tramite l'utilizzo dell'SMS PIN, il codice dovrà essere inserito non appena ricevuto e non sarà più possibile confermare la disposizione in un momento successivo all'inserimento.
che fosse per mitigare questo genere di truffa che, a OTP "differito" poteva essere ancora piu' facile?
 
Ultima modifica:
nessuna novita' dai truffati?
 
(banalmente, basterebbe guardare la barra degli indirizzi)

attenzione che quello si può cambiare con javascript.
non seguire i link di sms e mail è l'unico modo certo per non cascare nel trucco.
 
nessuna novita' dai truffati?

attendiamo il ritorno
:bye:

ringrazio tutti per i contributi.
tornero' quando sapro' le conclusioni della faccenda.

il fatto non e' successo a me in prima persona ma a mia cognata che non e' affatto una sprovveduta ma una ragazza sveglia che al momento e' stata espropriata di tutti i suoi soldi guadagnati nei primi anni di lavoro.

oltre a sperare nel buon epilogo della faccenda, lo condividero' con la speranza che sia utile a chi legge.

sono cliente fineco da oltre 15 anni, non mi ha mai deluso e ho perso il conto di quante persone sono diventate clienti fineco su mio consiglio.

speriamo non mi deludino ora
 
io ipotizzo che i truffatori gia' avessero user e password prima della telefonata: al telefono si sono fatti dare la/le OTP.

tra l'altro fineco per chi usa l'sms come 3o fattore ha recentemente cambiato: non e' piu' possibile confermare un bonifico successivamente ma va fatto subito.

che fosse per mitigare questo genere di truffa che, a OTP "differito" poteva essere ancora piu' facile?

... ma anche così non è bastato per la truffa raccontata.
Poi conosciute le cause, si porranno i rimedi.
Basterebbe chiedere Nome e Cognone di chi chiama, e che verranno richiamati.
A proposito, che numero di tel. sarà comparso sul display ?
Un numero vero della banca ?
Se fosse così basterebbe richiamare e si smaschera subito la truffa.
 
... ma anche così non è bastato per la truffa raccontata.
Poi conosciute le cause, si porranno i rimedi.
Basterebbe chiedere Nome e Cognone di chi chiama, e che verranno richiamati.
A proposito, che numero di tel. sarà comparso sul display ?
Un numero vero della banca ?
Se fosse così basterebbe richiamare e si smaschera subito la truffa.

Nel caso N26 il numero era quello della Banca.... (0694801584)
 
Indietro